El plugin WP To Do para WordPress es vulnerable a XSS almacenado a través de la configuración de ajustes de administrador en todas las versiones hasta, e incluyendo, la 1.3.0 debido a una insuficiente sanitización de entrada y escape de salida.
Esto permite a atacantes autenticados, con permisos de nivel administrativo y superiores, inyectar scripts web arbitrarios en páginas que se ejecutarán cada vez que un usuario acceda a una página inyectada. Esto solo afecta a instalaciones de múltiples sitios e instalaciones donde se ha deshabilitado unfiltered_html.
Para mitigar esta vulnerabilidad, se recomienda a los usuarios actualizar el plugin WP To Do a la última versión disponible, en este caso a la versión 1.3.1, que corrige este problema de seguridad. Además, se debe fomentar prácticas seguras al aceptar entradas del usuario y siempre escapar adecuadamente las salidas para evitar XSS en WordPress.